Ameaças invisíveis dentro da rede
Em qualquer dia, a rede desta universidade transportava o tráfego de milhares de estudantes a assistir a aulas em streaming, de investigadores a transferir conjuntos de dados entre laboratórios, de docentes a aceder a plataformas de avaliação na nuvem e de pessoal administrativo a processar registos de matrículas e de pagamentos. Através de vários campus, a rede horizontal que liga laboratórios de investigação, departamentos académicos e sistemas administrativos foi concebida para manter tudo a funcionar sem atritos.
Essa mesma conectividade tornava a rede praticamente impossível de defender a partir do interior. Para um atacante que tivesse obtido acesso inicial através de uma campanha de phishing, credenciais comprometidas ou um sistema vulnerável destinado aos alunos, essa atividade legítima constituía o disfarce ideal. O SOC dispunha de controlos rigorosos no perímetro, mas, assim que um agente malicioso entrava no sistema, a capacidade de perceber o que se passava era limitada. O tráfego interno circulava livremente entre os sistemas, com visibilidade limitada sobre o que se movia e para onde.
O tráfego da rede interna era, na prática, invisível
As ferramentas de monitorização tradicionais centravam-se no tráfego que entrava e saía do perímetro da rede. As comunicações entre sistemas internos na infraestrutura do campus, incluindo laboratórios de investigação, aplicações académicas e bases de dados administrativas, ficavam fora do seu campo de visão. Os movimentos laterais, as atividades de comando e controlo e o comportamento dos atacantes nas fases iniciais podiam ocorrer nestes segmentos sem gerar alertas. O SOC não dispunha de qualquer mecanismo para observar estas atividades.
A deteção dependia de indicadores a jusante
Sem visibilidade ao nível da rede, os analistas dependiam de alertas dos terminais e de anomalias do sistema para identificar atividades suspeitas. Estes indicadores surgiam normalmente só depois de um atacante já ter alargado o seu acesso, se ter deslocado entre sistemas ou se ter posicionado perto de dados confidenciais. Quando o SOC era alertado, a janela de oportunidade para uma contenção precoce já se tinha, muitas vezes, fechado.
A complexidade do campus tornou a análise comportamental impraticável
A dimensão e a diversidade da atividade na rede do campus tornavam difícil estabelecer valores de referência ou identificar anomalias utilizando ferramentas convencionais. Os padrões de tráfego provenientes de ambientes de investigação, sistemas dos estudantes, serviços na nuvem e infraestrutura administrativa variavam consideravelmente. Distinguir o comportamento dos atacantes da atividade legítima exigia um nível de capacidade analítica que o conjunto de ferramentas existente não conseguia proporcionar.
O que o SOC precisava para proteger o ambiente do campus
A equipa de segurança da universidade precisava de poder monitorizar o interior da sua própria rede, tomar medidas com base no que descobrisse e demonstrar que os dados de investigação confidenciais e as informações dos estudantes estavam a ser protegidos. Os critérios de decisão específicos incluíam:
Detecção mais precoce em todos os sistemas internos
O SOC precisava de identificar as ameaças que circulavam entre os sistemas internos antes de estas atingirem infraestruturas sensíveis de investigação ou administrativas, e não depois de os alertas nos terminais já terem sido acionados.
Confiança nos resultados num ambiente de grande volume
Com milhares de utilizadores e dispositivos a gerar tráfego constante, a equipa precisava de detecções em que pudesse confiar, em vez de um volume maior de alertas que tivesse de analisar manualmente.
Investigações mais rápidas e mais completas
Os analistas precisavam de contexto suficiente no momento da deteção para compreender rapidamente o alcance de uma ameaça, sem terem de reunir provas provenientes de várias ferramentas desconexas.
Conformidade com os requisitos regulamentares do setor da educação
A universidade necessitava de um acompanhamento contínuo que garantisse a preparação para auditorias e ajudasse a demonstrar a conformidade com as normas de segurança aplicáveis aos dados dos estudantes e de investigação.
Mínimo de perturbações nas atividades do campus
Qualquer solução tinha de funcionar em toda a combinação de sistemas modernos e antigos da universidade, sem exigir alterações arquitetónicas significativas nem perturbar as atividades académicas durante a implementação.
De pontos cegos à visibilidade unificada da rede
A universidade eliminou a sua falta de visibilidade interna através da implementação do MetaDefender NDR em segmentos estratégicos da rede em todo o ambiente do campus. Os sensores posicionados nos principais nós da rede proporcionaram ao SOC acesso contínuo ao tráfego que circulava entre os sistemas académicos, as redes de investigação, os serviços na nuvem e a infraestrutura administrativa. Pela primeira vez, os analistas tiveram uma visão unificada da atividade de rede leste-oeste em todo o ambiente distribuído da universidade.
MetaDefender NDR analisaNDR os dados da atividade de rede utilizando aprendizagem automática e análise comportamental para identificar padrões de tráfego anormais, detetar movimentos laterais entre sistemas e revelar comunicações de comando e controlo. Os modelos de deteção de anomalias baseados em IA revelam indicadores subtis do comportamento dos atacantes que se misturam com o tráfego normal do campus, antes que os atacantes consigam avançar mais no ambiente.
A inteligência integrada sobre ameaças enriqueceu automaticamente as deteções, fornecendo aos analistas alertas contextualizados em vez de meros indicadores. Em vez de ter de correlacionar dados fragmentados em vários sistemas, o SOC pôde investigar incidentes utilizando uma visibilidade completa, ao nível da rede, da atividade dos atacantes a partir de uma única plataforma.
Impacto mensurável na visibilidade do SOC e na segurança do campus
Após a implementação MetaDefender NDR, o SOC da universidade passou de uma postura reativa — que implicava aguardar alertas dos terminais e anomalias do sistema — para uma postura proativa, com a capacidade de detetar e investigar ameaças enquanto estas ainda estavam em curso.
Áreas de impacto | Benefícios operacionais |
Visibilidade da rede | Visibilidade profunda e contínua do tráfego interno leste-oeste nas redes do campus |
Velocidade de deteção de ameaças | Identificação precoce de movimentos laterais e padrões de comunicação suspeitos |
Eficiência das investigações | Análise mais rápida da causa raiz através de telemetria unificada ao nível da rede |
Proteção da investigação | Maior capacidade de deteção para proteger a investigação académica sensível e a propriedade intelectual |
Resposta a incidentes | Resposta do SOC mais bem coordenada com contexto completo da rede |
Preparação para o cumprimento das normas | Reforço da monitorização contínua, em conformidade com as normas de segurança do setor da educação |
Reforçar a segurança à medida que as ameaças no campus evoluem
Com a visibilidade contínua da rede agora implementada, a universidade está em condições de alargar a sua capacidade de deteção e resposta a um conjunto mais vasto de sistemas do campus e fluxos de trabalho de segurança.
Maior cobertura dos sensores em todos os segmentos do campus
AlargarNDR MetaDefender NDR a segmentos de rede adicionais, tais como ambientes de colaboração em investigação e infraestruturas periféricas, para manter a visibilidade à medida que a rede do campus cresce e evolui.
Maior integração com as operações do SOC
Correlacionar a telemetria de rede com as plataformas SIEM e SOAR existentes para enriquecer as cronologias dos incidentes, acelerar os fluxos de trabalho de resposta e reduzir a carga de trabalho dos analistas em toda a equipa de operações de segurança.
Detecção retroativa de ameaças no tráfego histórico
Utilizar a funcionalidade de retrohunting da plataforma para reanalisar dados históricos da rede, identificar atividades de atacantes que anteriormente tinham passado despercebidas e determinar há quanto tempo as ameaças não detetadas se encontravam presentes no ambiente.
Da segurança perimetral e da realidade da rede
As redes do campus não podem ser protegidas apenas contra ameaças externas. Os atacantes que conseguem obter acesso inicial podem deslocar-se lateralmente pelos sistemas de investigação, aplicações académicas e infraestrutura administrativa durante longos períodos, caso o SOC não tenha meios para monitorizar a atividade interna da rede.
Com a implementação MetaDefender NDR, os analistas do SOC desta universidade obtiveram a visibilidade, a capacidade de deteção e o contexto de investigação necessários para identificar ameaças mais cedo e responder com confiança. O resultado é um modelo de defesa proativo e baseado na rede, concebido para se adaptar à complexidade dos ambientes modernos do ensino superior.
Conclusões finais
- As ferramentas de perímetro e de terminais, por si só, não conseguem detetar ameaças que já se estejam a deslocar lateralmente dentro de uma rede de campus
- A visibilidade contínua da rede interna é essencial para detetar o comportamento dos atacantes antes que este atinja os sistemas sensíveis
- A análise comportamental baseada em IA deteta atividades suspeitas que se misturam no tráfego intenso do campus mais cedo do que as ferramentas baseadas em regras
- A inteligência integrada sobre ameaças reduz a sobrecarga dos analistas, fornecendo contexto no momento da deteção
- A detecção de rede especificamente concebida para o efeito proporciona uma melhoria mensurável do SOC sem perturbar as operações do campus
Se o seu SOC estiver a proteger um ambiente de campus complexo e necessitar de uma maior visibilidade sobre a atividade da rede interna, fale com um OPSWAT para saber como MetaDefender NDR ajudar a proteger os seus dados confidenciais.
